Fire Chili Rootkit

Bjauri Kinijos APT (Advanced Persistent Threat) grupė „Deep Panda“ buvo sučiupta naudojanti naują, grėsmingą savo arsenalo papildymą. Kenkėjiška programa, pavadinta Fire Chili, patenka į rootkit kategoriją ir yra skirta užkrėsti Windows sistemas. Remiantis kibernetinio saugumo analitikų paskelbta ataskaita, šis „rootkit“ yra pristatomas į „VMware Horizon“ serverius per „Log4Shell“ išnaudojimą ir gali paveikti „Windows“ versijas iki „Windows 10 Creators Update“, kuris buvo išleistas 2017 m. balandžio mėn.

Rootkit yra itin grėsmingi kenkėjiškų programų tipai, nes jie gali giliai įsiskverbti į pažeistas sistemas ir atlikti įkyrius veiksmus žemiausiu lygiu, taip apeinant daugybę saugumo patikrinimų ir apsaugos nuo kenkėjiškų programų. Kad antivirusinės priemonės nebūtų aptiktos pradinės infekcijos metu, „Fire Chili“ turi galiojančius skaitmeninius sertifikatus, priklausančius „Frotburn Studios“ (žaidimų kūrėjų įmonei) arba „Comodo“ (saugos programinės įrangos kūrėjui). Tyrėjai mano, kad sertifikatai buvo pasisavinti iš numatytų savininkų.

Pradėjus veikti, „Fire Chili“ atlieka keletą pagrindinių sistemos testų, siekdama aptikti virtualizacijos ar smėlio dėžės aplinkos požymius. Grėsmė taip pat užtikrina, kad tikslinės branduolio struktūros ir objektai būtų sistemoje. Pagrindinis kenkėjiškų programų tikslas yra paslėpti kitus įsilaužėlių veiksmus. „Fire Chili“ gali paslėpti failų operacijas, procesus, registro sistemos papildymus ir neteisėtus tinklo ryšius, kad jų nepastebėtų vartotojai ar saugos programinės įrangos įrankiai. Jis archyvuoja tai naudodamas IOCTL (įvesties / išvesties valdymo sistemos iškvietimus), pernešančius sugadintus artefaktus, kuriuos gali dinamiškai konfigūruoti grėsmės veikėjai.